在 Azure AD 中使用条件访问策略为单个用户禁用 MFA

随着网络安全形势的发展，执行良好的 MFA 部署可以充当坚固的盾牌，不懈地保护 M365 免受恶意入侵者的侵害。然而，在某些情况下，例如使用碎玻璃帐户登录或运行无人值守的脚本时，绕过 MFA 的屏蔽变得有必要。那么，如何才能免除此类特定账户的 MFA 呢？这就是条件访问策略发挥作用的地方?！

条件访问策略可用于禁用特定用户帐户的 MFA。 这种方法可确保您能够处理异常情况，而不会影响整体安全状况。

因此，让我们了解如何使用条件访问策略为单个用户禁用 MFA。

选择 CA 策略以跳过单个用户的 MFA

虽然安全默认设置为整体安全性提供了可靠的基准，但它们可能无法提供为单个帐户自定义 MFA 设置所需的粒度。为了满足这一需求，组织可以利用条件访问 (CA) 策略。

顺便说一句，拥有 Azure AD P1 或 P2 许可证是创建条件访问策略的唯一先决条件。

要记住的要点：如果您为租户启用了安全默认设置，请务必关闭。因为您不能同时使用安全默认值和条件访问策略。

使用条件访问策略为单个用户禁用 MFA

要为您的组织启用 MFA 并从 MFA 中排除特定用户，请按照以下步骤操作。

1. 首先，登录 Microsoft Entra 管理中心。
2. 然后，导航到“保护”下拉框并选择“条件访问”选项。
3. 点击“+ 创建新政策”以创建新政策并为您的政策指定合适的名称。

4. 在“分配”下的“包含”部分中添加“所有用户”，并在“用户”边栏选项卡中显示的“排除”部分中选择豁免帐户。

   

5. 在“访问控制”部分下，通过从“授予刀片”中选择“需要多重身份验证”来授予访问权限，然后单击“选择”确认您的选择。
6. 最后，将该策略启用为“开启”模式并单击“创建”。

因此，不需要对指定用户帐户进行 MFA 的条件访问策略已成功创建。 因此，不会提示用户进行多重身份验证。

注意：如果您的组织已制定 CA 政策，建议创建新政策，而不是修改任何现有政策。另请注意，如果两个不同的策略中提到同一用户且多重身份验证 (MFA) 的设置存在冲突，则具有最严格设置的策略将优先。

明确地说，让我们考虑这两项政策：

• 策略 A：此策略会将用户排除在 MFA 要求之外。
• 政策 B：此政策将在 MFA 要求中包含同一用户。

在此场景中，由于策略 B 是为用户强制执行 MFA 的策略，因此它将优先于策略 A。用户将根据策略 B 中设置的要求受到 MFA 的约束，而策略 A 中提到的排除将不会受到影响。申请。

我们在下面介绍了一些其他案例，这些案例描述了条件访问策略对于跳过 MFA 以满足特定组织需求的重要性。

1. 在某些条件下排除用户和组的 MFA
2. 使用 CA 策略为具有 Azure AD 角色的用户禁用 MFA

在某些条件下排除用户和组的 MFA

案例1：用户/组通过可信网络登录资源

除上述情况外，您还可以在某些条件下为用户或组跳过 MFA。例如，当用户或一组成员使用 CA 策略从受信任的办公网络访问关键资源时，您可以跳过 MFA。

为此，您需要使用受信任的 IP 范围创建一个命名位置。随后，在策略的条件边栏选项卡中添加指定位置，根据您的要求定位选定的用户或组。

当从受信任的办公网络访问关键资源时，配置的策略将为用户/组免除 MFA。但是，当这些用户尝试从办公网络外部访问相同的资源时，他们仍然需要完成 MFA 流程。

案例 2：用户/组通过兼容设备登录 Microsoft 365 资源

对于从符合组织安全标准和策略的设备访问资源的用户和组，可以跳过多重身份验证 (MFA) 要求。简而言之，您可以减少用户和组从合规设备登录时使用 MFA 的必要性。为此，请创建一个设备条件，如下图所示。

然后根据您的要求包含特定用户/组，并通过要求多重身份验证来授予访问权限。

此策略将要求使用不合规设备登录的用户进行 MFA，而来自合规设备的用户无需 MFA 即可进行访问。

使用 CA 策略为 Azure AD 角色禁用 MFA

另外一个优势是，您可以为具有特定 Azure AD 角色的用户跳过 MFA。要实现此目的，您可以遵循前面提到的相同过程，但这次不是排除特定用户，而是将指定目录角色添加到策略的“排除”部分。

此修改将确保具有指定角色的用户可以无缝访问 M365，从而提高他们在紧急情况下的效率。

注意：条件访问策略中的错误配置可能会严重影响 Microsoft 365 环境的安全性和功能，因此请有效监控条件访问策略。

使用 AdminDroid 有效监控条件访问策略

设置策略后，您需要监控指定人员是否已成功登录以及其他人员是否经过MFA认证。虽然本机报告方法提供了有关用户登录的一些见解，但它们通常缺乏深入的详细信息，例如每个用户成功登录的确切计数、失败登录的数量以及其他关键指标。为了让您深入了解条件访问策略，AdminDroid 登场！

AdminDroid Azure AD 报告器为您提供有关条件访问策略配置、策略有效性评估、用户行为分析和其他有价值信息的广泛见解。这些见解可帮助你密切关注 Azure AD 中配置的条件访问策略。

以下是 AdminDroid 提供的一些报告，有助于有效管理条件访问策略。

登录审核报告

• 登录被 CA 策略阻止
• 登录成功通过策略
• 登录无法绕过 CA 策略

CA 策略中配置的条件

• 基于角色的CA策略
• 平台/地点指定政策
• 基于位置/设备的策略

具有 MFA 要求的 CA 政策

• MFA 配置的 CA 策略
• 启用 MFA 的策略的分配条件

使用 AdminDroid 实现对 Azure Active Directory 管理的完全控制！

重要的是，借助 AdminDroid，您可以访问 1800 多个报告，深入了解 Microsoft 365 资源（例如 Exchange Online、OneDrive、SharePoint）的使用情况、安全性和合规性在线、Yammer 等。

因此，通过 15 天免费试用来发掘 AdminDroid 的全部潜力。一旦您见证了它的功能，我们确信您会被吸引并且不想回头。

因此，条件访问策略为部署粒度 MFA 提供了最有效、最灵活的解决方案。通过利用条件访问策略，您可以自定义 MFA 设置以满足您的特定需求，而不会影响 Microsoft 365 环境的安全性。

希望您已获得有关如何使用 CA 策略为单个用户禁用 MFA 的足够信息。此外，请随时在评论部分联系我们寻求帮助。